Закон о персональных данных: рынок не готов?

Закон 152-ФЗ "О персональных данных", как известно, оказался в центре пристального внимания российского профессионального бизнес-сообщества осенью минувшего года и до сих пор остается горячей темой дня. Его экспертные оценки звучат, мягко говоря, неоднозначно. При этом сами участники рынка пытаются разобраться, как им действовать, чтобы не вызвать нареканий регулирующих органов и в то же время минимизировать затраты на обработку и защиту персональных данных (ПДн).

Создать культуру защиты

Закон, конечно, противоречив, содержит ссылки на подзаконные акты, долгое время бывшие недоступными(они вышли с существенным опозданием, к тому же, под грифом ДСП), а у некоторых участников рынка даже вызывает сомнения в своей целесообразности, поскольку дублирует отдельные положения действующего законодательства. Но объективности ради следует признать: дискуссия явно запоздала. Фактически закон благополучно "проспали" все участники рынка - начиная с регуляторов, продолжая организациями, занимающимися обработкой персональных данных (в терминологии закона - "операторы") и заканчивая поставщиками ПО.

Александр Шарамок, руководитель направления по защите персональных данных группы компаний "Ортикон", дал характеристику ситуации, в целом отражающую реальное положение вещей на рынке. По его словам, законодательная база до сих пор остается сырой. При этом операторы ПДн пока реагируют на действия регулирующих органов по принципу ожидания "последнего китайского предупреждения", т. е., по-видимому, в большинстве своем либо вовсе не воспринимают их, либо относятся к ним формально.

Характеризуя заказчиков своей компании, Александр Шарамок сказал, что для страховых компаний, негосударственных пенсионных фондов свойственно оперирование большими объемами ПДн, касающимися финансового состояния физических лиц, а для частных медицинских учреждений, даже если они небольшие, - высокая конфиденциальность ПДн. Поэтому информационные системы и тех, и других относятся к 1 или 2-му классу.

Классы информационных систем хранения и обработки персональных данных Тип ПДн Конкретная организация (менее 1000) Муниципальный субъект (от 1 000 до 100 000) Субъект РФ или РФ в целом (более 100 000) 4 категория Обезличенные ПДн К4 К4 К4 3 категория ПДн для идентификации субъекта К3 К3 К2 2 категория ПДн для получения дополнительной информации К3 К2 К1 1 категория ПДн по состоянию здоровья, интимной жизни, убеждений К1 К1 К1

Источник: "Ортикон", 2010

К особенностям малых организаций, по словам Шарамка, следует отнести нехватку специализированных ИТ-подразделений, слабую техническую подготовленность организации в плане инфраструктуры и, как следствие, - отсутствие понимания необходимости защиты ПДн. Это осложняет работу компаний, предлагающих услуги по приведению защиты ПДн в соответствие с законом, поскольку отношение к ним крайне недоверчивое.

По мнению представителя компании "Ортикон", ситуация с защитой ПДн улучшится и все участники рынка только выиграют, если, во-первых, как можно быстрее будет закончено формирование четкой и прозрачной правовой и нормативно-технической базы, а во-вторых - в обществе сформируется культура защиты персональных данных. Докладчик оптимистично напомнил собравшимся, что внедрение закона об ОСАГО в свое время тоже вызывало большие споры, но впоследствии стал очевиден его положительный эффект.

Коснувшись технических требований к ИС 1-го и 2-го класса ("Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных"", утверждены ФСТЭК 15.02.2008), докладчик подчеркнул, что некоторые из них уже отменены (защита от утечки ПДн за счет побочных излучений и наводок), а строгое выполнение требования лицензирования приведет организацию к затратам в сотни тысяч рублей. В качестве перспективного варианта экономичного решения данной проблемы Александр Шарамок предложил аутсорсинг, т.е. передачу вопросов технической защиты ПДн, обрабатываемых организацией, специализированным компаниям.

Решать самостоятельно

Решать комплекс задач, связанных с приведением ИСПДн в соответствие с законом 152-ФЗ, самостоятельно или задействовать аутсорсинг - это вопрос выбора каждого оператора. У каждого из вариантов, как водится, есть свои плюсы и минусы. Плюсы самостоятельного решения проблем - полный контроль над процессами, в числе минусов - отвлечение внутренних ресурсов от решения бизнес-задач.

По мнению Максима Степченкова, начальника отдела информационной безопасности компании Oberon, целесообразно именно самостоятельное исполнение большинства процедур по приведению своих ИСПДн в соответствие с законодательством организации, отдавая на аутсорсинг лишь самые сложные вопросы. Главное в достижении успеха - создать команду, в которую должны войти не только ИТ-специалисты, представители службы безопасности и юристы, но и представители бизнес-направления. Без привлечения сотрудников бизнес-подразделений, убежден представитель компании Oberon, успеха добиться сложно, потому что только они знают, какие именно персональные данные хранятся в ИСПДн, каким образом используются и кому передаются.

По мнению докладчика, основные подходы к защите ПДн, которые должна использовать в работе организация, - это минимизация затрат и непрерывность процесса в связи с постоянным изменением законодательства.

Сохранить ИТ-инфраструктуру

В бизнесе каждой работающей компании обязательно задействованы несколько информационных систем, в большинстве из которых тем или иным способом хранятся или обрабатываются персональные данные. Поэтому задача модификации ИТ-инфраструктуры становится для большинства компаний сложной и даже болезненной.

Джабраил Матиев, руководитель направления защиты персональных данных по коммерческой части компании "Рэйнвокс", обозначил два крайних варианта действий организации по защите ПДн в своей ИТ-инфраструктуре. Первый - коренная переделка всех ИСПДн под новое законодательство и второй - формальный подход - выпуск внутренних нормативных документов без каких-либо изменений ИСПДн. При этом, по мнению докладчика, существует третий, самый оптимальный вариант. Это сохранение действующей ИТ-инфраструктуры организации при условии видоизменения некоторых ее элементов, а также добавления новых, необходимых для обеспечения соответствия законодательству.

На примере проекта в коммерческом банке г-н Матиев пояснил, как это можно сделать. В частности, ИТ-инфраструктура банка видоизменяется таким образом, что автоматизированные рабочие места (АРМ) перестают быть ИСПДн, а становятся всего лишь терминалами доступа к системе в рамках централизованной ИТ-инфраструктуры.

Типовая ИТ-инфраструктура банка

Источник: "Рэйнвокс", 2010

Отметив, что в банках практически все ИС являются ИСПДн, докладчик предложил метод логического структурирования ИСПДн банка, в рамках которого осуществляется защита всех систем по общему периметру (а не каждой по отдельности) в сочетании с понижением класса некритичных сегментов. В числе одной из самых актуальных проблем докладчик обозначил проблему использования сертифицированных средств защиты.

Выступление Джабраила Матиева спровоцировало участников круглого стола на оживленную дискуссию о том, что делать с обновлениями многочисленного софта (антивирусного и не только), которые в большинстве случаев проводятся неконтролируемо, в автоматическом режиме. В частности, начальник отдела защиты информации "Банка Москвы" Василий Окулесский отметил, что любая сертификация ПО, имеющего постоянные обновления, бессмысленна, поскольку сертификат действует только до следующего обновления (например, антивирус Касперского получает от 10 до 25 обновлений в сутки, так что говорить о сертификации не приходится). Доверять производителям ПО, по мнению представителя "Банка Москвы", в этом вопросе не нужно. В целях обеспечения бесперебойности работы и безопасности ИТ-инфраструктуры необходимо, во-первых, осуществлять централизованное обновление всего ПО (системного, прикладного, антивирусного), а во-вторых - предусмотреть тестирование обновленных версий на локальных компьютерах. И только после такого предварительного тестирования, убедившись, что система "не падает" и все прикладные программы работают, можно размещать обновления в производственном сегменте. Таким образом, речь идет о создании в организации тестовой среды, которая должны быть отделена от производственной.

Реализовать на практике

Приведение ИСПДн в соответствие с законом собственными силами, причем в разумные сроки, с приемлемыми расходами и без единого предписания или замечания со стороны Роскомнадзора - задача непростая, но реальная. Елена Круглова, директор по развитию УК "Капитал", рассказала участникам круглого стола об успешном опыте своей компании по прохождению такой проверки.

Разумеется, подготовка организации к проверке требует разнообразных расходов, в частности - на технические меры защиты информации. Так, по словам докладчика, для защиты от несанкционированного доступа и неправомерных действий в компании были внедрены системы управление доступом; регистрации и учета; обеспечения целостности, система анализа защищенности, обнаружения вторжений и ряд других.

Значительно меньшая статья расходов - административные меры защиты информации. Как правило, они заключаются в разработке внутренней документации, принятии мер по охране и других административных мерах. В УК "Капитал" с этой целью было разработано несколько десятков внутренних нормативных документов, причем некоторые потребовали изменения бизнес-процессов (например, в плане условий хранения документации).

Роскомнадзор проверяет не только техническую оснащенность организации, но и квалификацию персонала, знание им внутренних регламентов компании в сфере защиты ПДн, поэтому обучение сотрудников просто необходимо.

К числу распространенных способов оптимизации расходов сегодня, как известно, относится понижение класса ИСПДн. С этой целью организация может осуществить, в частности, такие меры как обезличивание персональных данных, перевод ПДн в категорию общедоступных или отказ от сбора и заведения в ИС части информации (например, графы "национальность"). С целью изменения объема ПДн, которое тоже помогает понизить класс ИСПДн, можно осуществить дробление ИС на подсистемы (базы данных) с меньшим объемом, но при этом следует помнить, что информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Финансовый сектор

Как известно, ст. 26 "Банковская тайна" закона "О банках и банковской деятельности" от 02.12.1990 N395-1 обязывает кредитные организации защищать персональные данные клиентов. Кроме того, по информационной безопасности уже довольно давно существует стандарт "Банка России", который можно фактически назвать отраслевым стандартом ИБ для банков. По мнению Александра Велигура, председателя комитета по информационной безопасности АРБ, благодаря существованию такого отраслевого стандарта фактически многие требования 152-ФЗ банками уже выполнены, и необходимый уровень защиты персональных данных во многих ИСПДн кредитных организаций уже присутствует. И сегодня требуется лишь доработать отраслевой стандарт с учетом требований ФЗ-152.

Склонность банкиров руководствоваться стандартами "Банка России" подтвердил и начальник отдела защиты информации "Банка Москвы" Василий Окулесский. Хотя Банк Москвы и отправил уведомление в "Роскомнадзор", но большинство своих информационных систем (а их около 200) классифицированы банком как специальные (исключение сделано только для одной системы - кадровой). Следовательно, по мнению представителя "Банка Москвы", ИС банка не требуют дополнительных мер защиты данных, а деятельность банков по защите ПДн не требует лицензирования. Можно предположить, что схожим образом оценивают ситуацию и большинство российских банков, поскольку на сегодня по данным Роскомнадзора, лишь порядка 30% банков подали уведомление на регистрацию в качестве операторов ПДн.

Тем временем становится все более очевидным, что независимо от факта подачи уведомления в Роскомнадзор банкам придется приводить свои ИСПДн в соответствие с новым законом. И, чтобы облегчить этот процесс, "Банк России" совместно с АРБ разработали проекты отраслевых документов по приведению банков в соответствие с требованиями законодательства в области ПДн. При этом "Банк России" предполагает (и банковское сообщество явно сочувствует своему регулятору в этом вопросе), что аудит информационной безопасности в целом и проверка защиты ПДн, в частности, будут производиться, если и не полностью самостоятельно, то при непосредственном участии и контроле "Банка России".

Система здравоохранения

Учреждения системы здравоохранения тоже имеют своего регулятора - Минздравсоцразвития. Тем не менее, отраслевого ИБ-стандарта в данном секторе до сих пор нет. Этот факт с сожалением констатировал Владимир Поихало, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования (ФФОМС). Между тем работа ФФОМС и его 84 территориальных учреждений предполагает постоянный обмен персональными данными друг с другом и самостоятельными медицинскими учреждениями (которых более 8 тыс.), поэтому защита ПДн очень актуальна. В настоящее время, как рассказал представитель ФФОМС, начата работа по организации защищенного информационного обмена Фонда с пенсионным фондом и фондом социального страхования РФ.

Поддержал отраслевой принцип корректировки федерального законодательства по защите персональных данных и Андрей Столбов, заместитель директора Медицинского информационно-аналитического центра РАМН, отметив попутно, что в Западной Европе вопросы безопасности медицинских данных регулируются специальными законами.

Операторы связи

Деятельность операторов связи, как и банков, достаточно строго регламентирована Минкомсвязи. Отраслевого стандарта как отдельного документа нет, но в отраслевом законодательстве есть достаточно четкие нормы по обеспечению защиты персональных данных. Так, законом "О связи" N126-ФЗ еще в 2003-м году персональные данные абонента были отнесены к информации ограниченного доступа. Тогда же были обозначены требования к сроку ее хранения. Помимо этого, правительством был принят целый ряд документов, регламентирующих деятельность операторов связи, в том числе в плане обеспечения защиты сетей связи от НСД к передаваемой посредством их информации (Приказ Минкомсвязи от 9 января 2008 г. N 1). Кроме того, операторы связи действуют на основании лицензии, в которую включены в числе прочих и требования по обеспечению ИБ.

Дмитрий Соболев, директор дирекции информационной безопасности "Транстелекома", подчеркнув развитость отраслевой нормативной базы по информационной безопасности, выделил в ИТ-инфраструктуре своей компании одно из специфически-отраслевых решений - автоматизированную систему расчетов (АСР) и отметил, что требования, предъявляемые Минкомсвязи к данной системе в плане безопасности, еще жестче, чем требования ФСТЭК.

Защищенный сегмент корпоративной сети "Транстелекома"

Источник: "Транстелеком", 2010

В ходе выполнения работ по приведению ИТ-инфраструктуры в соответствие с законом, все системы компании были классифицированы согласно требованиям ФСТЭК. Для этого в "Транстелекоме" применялись ставшие уже традиционными методы снижения класса ИСПДн, уменьшения объема хранимых данных. В частности, Дмитрий Соболев поделился маленьким секретом, как именно удалось ограничить размер базы данных резюме - при появлении тысячного резюме, автоматически удаляется самое первое резюме. И еще один секрет снижения себестоимости проекта - использование терминальных вычислений. В корпоративной системе создан защищенный сегмент корпоративной сети, в котором и размещены нуждающиеся в защите информационные системы.

В свою очередь, компания "Вымпелком" пошла по пути "Банка Москвы", присвоив всем своим ИС статус "специальная система"". Отметив этот момент, Дмитрий Устюжанин, руководитель департамента информационной безопасности компании, тоже высказался в пользу отраслевого подхода к защите ПДн.

В целом история появления и реализации закона 152-ФЗ "О персональных данных" типична для российского законотворчества и практики экономической жизни: принимается закон, декларированная цель которого актуальна и не вызывает сомнений, однако организм экономической жизни поначалу активно сопротивляется внедрению закона. Причин реакции отторжения, как показал круглый стол, несколько. Это и слишком большой разрыв между некоторыми положениями законодательного документа и практикой бизнеса, и дублирование законом ряда положений уже действующего российского и международного законодательства, де-факто применяемого крупными организациями при организации бизнеса (например, стандарты безопасности ISO 2701), и нерешенность самой основной и болезненной проблемы защиты персональных данных - "проблемы инсайдеров" или, говоря иначе, "проблемы администраторов", которые, если за ними не осуществляется должный контроль, становятся поставщиками персональных баз данных на черный рынок.

Алексей Воронин / CNews